Was ist eine Brute-Force-Attacke?
Unter einer Brute-Force-Attacke (Brute-Force-Methode) versteht man den Versuch, Zugangsdaten (also Benutzernamen und / oder Passwort) zu knacken. Mithilfe automatisierter Tools und sehr leistungsstarker Rechner bzw. Netzwerke werden gemäß des Trial-and-Error-Prinzips sämtliche Kombinationen ausprobiert. Je nach Sicherheit des Passworts kann es wenige Sekunden, aber auch Jahre dauern, bis der Angriff erfolgreich ist. Erfahren Sie, wie Sie Brute-Force-Angriffe erkennen und wie Sie sich nachhaltig gegen diese und andere Hacker-Methoden schützen.
Brute-Force: Arten & Funktionsweise
Es gibt verschiedene Formen von Brute-Force-Angriffen - abhängig vom Szenario bzw. "Wissensstand" der Angreifer.
Durchführung von Angriffen
Ein manuelles Ausprobieren von Benutzernamen und Passwörtern wird nicht zum Ziel führen. Stattdessen nutzen Angreifer spezielle Tools, die, vollkommen automatisiert, sämtliche Kombinationen von Zahlen, Wörtern, Buchstaben und Sonderzeichen ausprobieren, um ein Passwort zu knacken.
Oft wird der Brute-Force-Attacke eine sogenannte Wörterbuch-Attacke vorgeschoben. Dabei werden Kombinationen aus bekannten Wörtern / Begriffen (wie sie in einem Wörterbuch stehen) zum Knacken des Zugangs ausprobiert. Beide Methoden lassen sich miteinander kombinieren.
Statt die Attacken von einzelnen Rechnern / Systemen zu starten, werden in der Regel Botnetze (Botnet) verwendet, um die Angriffe zu verschleiern und diese mit mehr Rechenleistung durchführen zu können.
Wie lange dauert ein Brute-Force-Angriff?
Bei einem Passwort mit 5 Zeichen, bestehend aus 3 Kleinbuchstaben und 2 Zahlen, gibt es 60.466.176 verschiedene Kombinationsmöglichkeiten. Das Passwort kann durch eine professionell durchgeführte Brute-Force-Attacke schon in 0,03 Sekunden geknackt werden.
Ein 12 Zeichen langes Passwort, bestehend aus 3 Großbuchstaben, 4 Kleinbuchstaben, 3 Sonderzeichen und 2 Zahlen, würde hingegen mit der gleichen Methodik erst in spätestens 7,5 Millionen Jahren geknackt werden können. Hier gibt es 475.920.314.814.253.376.475.136 verschiedene Kombinationsmöglichkeiten.
Brute-Force-Tools
Hacker verwenden nicht nur leistungsstarke Hardware und / oder Botnetze, sondern zusätzlich spezielle Software (Malware). Auch mit teils frei verfügbaren Tools lassen sich Brute-Force-Attacken durchführen:
- John the Ripper
- Aircrackng
- Hashcat
- LOphtCrack
- Hydra
- brutus
- Ncrack
Nachhaltiger Schutz für Brute-Force-Angriffen
Die gute Nachricht: Sie können sich relativ einfach vor (den meisten) klassischen Brute-Force-Angriffen schützen. Etwas aufwendiger ist der Schutz vor Social-Engineering-Methoden, mit denen Hacker ebenfalls versuchen könnten, Zugangsdaten oder Teile davon zu erbeuten.
Sichere Passwörter vergeben
Das A und O ist und bleibt ein sicheres Passwort. Realnamen und Wörter, die man in einem Wörterbuch finden könnte, haben in einem Passwort nichts zu suchen. Stattdessen sollte das Passwort eine mindestens zehn Zeichen lange willkürliche Kombination aus Großbuchstaben, Kleinbuchstaben und Sonderzeichen sein.
Passphrase verwenden
Sollten mehr als 6 oder 10 Zeichen erlaubt sein, können sehr lange Passphrasen für noch mehr Sicherheit sorgen. Bedenken Sie: je länger ein Kennwort, desto länger brauchen Hacker, um es zu knacken. Sie können beispielsweise tatsächliche Wörter / Begriffe als Basis nutzen, sollten diese aber durch individuelle Regeln mit Sonderzeichen und Ähnlichem verfremden.
Passwörter sicher verwalten
Es ist unglaublich, aber noch immer Speichern viele NutzerInnen Passwörter in Excel-Tabellen oder Word-Dokumente. Das Problem: Werden diese Dateien “geklaut”, haben Hacker freie Fahrt. Besser ist die Nutzung eines Passwort-Managers, der Zugangsdaten verschlüsselt abspeichert und über eine Auto-Fill-Funktion verfügt. AnwenderInnen müssen die Passwörter so überhaupt nicht kennen, um Zugriff zu erhalten. In Unternehmen sollten die Zugänge zentral von einem Administrator verwaltet werden.
Zugangsdaten regelmäßig ändern
Weil auch prinzipiell sichere Zugangsdaten theoretisch irgendwann durch Brute-Force-Attacken geknackt werden können, sollten Sie bzw. die Administratoren die Zugangsdaten in regelmäßigen Abständen ändern. Dass ein und dasselbe Passwort nicht für mehrere Accounts verwendet wird, versteht sich von selbst.
Zwei- oder Multi-Faktor-Authentifizierung
Bei einer Zwei-Faktor-Authentifizierung reichen Nutzername und Passwort nicht aus, um Zugriff auf ein System zu erhalten. Stattdessen wird ein weiterer “Schlüssel” benötigt: zum Beispiel eine SMS-Tan oder ein Hardware-Token. Während viele Services von Haus aus eigene 2FA-Lösungen anbieten, setzen einige Dienste auf Anbieter wie den Google Authenticator oder Authy.
Bot-Protection-System
Vor allem können bieten Bot-Protection-Systeme Login-Versuche durch Bots registrieren und damit Brute-Force-Angriffe erkennen. Häufig nutzen Hacker Botnetze, über die verteilte Angriffe von unterschiedlichen IP-Adressen gestartet werden, um schneller und teilweise unbemerkt ans Ziel zu kommen.
Malware-Schutz
Beim Credential Cracking (siehe oben) ist der Nutzername bereits bekannt. Weil dieser, anders als das Passwort, auch bei Autofill-Funktionen meist nicht verdeckt ist, könnten Hacker dieser mittels sogenannter Keylogger mitlesen. Gegen Software-Keylogger schützt Sie eine gute Antiviren-Software. Um sich gegen Hardware-Keylogger zu schützen, sollte Sie die Zugangskontrolle zu Ihren Arbeitsplätzen ernst nehmen.
Awareness-Trainings
Häufig erbeuten sich Hacker Teil von Zugangsdaten nicht über irgendwelche Tools, sondern direkt persönlich mittels sogenannter Social-Engineering-Attacken. Durch das Kapern von Telefonanschlüssen (Stichwort: VoIP-Security) könnten sich Kriminelle als jemand ausgeben, der sie gar nicht sind und direkt nach Zugangsdaten fragen. Für ungeschulte Personen sind solche Methoden teilweise nicht zu erkennen.
Tipp: IT-Security-Status prüfen
Mit einem Penetrationstest lässt sich der aktuelle IT-Security-Status Ihres Unternehmens ermitteln. Damit wird also auch ersichtlich, wie gut Sie gegen Brute-Force-Attacken und andere Hackermethoden geschützt sind bzw. wie gut Ihre internen Sicherheitskonzepte funktionieren, falls ein solcher Angriff ermittelt wird.
IT-Sicherheitskonzept
Im Notfall schnell und richtig handeln: Je nach Art und Umfang des Angriffs ist das Befolgen klarer Regeln Gold wert und kann größeren Schaden abwenden. Gerne unterstützen wir Sie bei der Ausarbeitung eines IT-Sicherheitskonzepts und / oder der dauerhaften Überwachung Ihrer IT-Infrastruktur.
Managed-IT-Security
Ihre internen Strukturen erlauben keine dauerhafte und vor allem kompetente Verwaltung der IT-Infrastruktur? Gerne kümmern sich unsere ExpertInnen um Aufbau, Verwaltung und Monitoring Ihrer Systeme.
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de
Rückruf anfordern
Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.
Aktuelles aus unserem Magazin
Erfahren Sie mehr rund ums Thema IT-Sicherheit in Unternehmen, Behörden und Bildungseinrichtungen.
IT-Security in Unternehmen: die Basics
Social-Engineering: Infos + Prävention
